CISCO控制器无线AP配置方法.ppt

《CISCO控制器无线AP配置方法.ppt》由会员分享，可在线阅读，更多相关《CISCO控制器无线AP配置方法.ppt（109页珍藏版）》请在麦多课文档分享上搜索。

1、无线控制器配置基础,2014年6月3日,基本配置任务及过程,准备工作 控制器启动配置和升级控制器软件版本 熟悉控制器配置界面 3. 连接AP到控制器上 配置任务 思科CSSC无线客户端的安装和简单配置 构建一个OPEN和一个WEP的无线网络 构建一个简单WEB认证的无线网络 构建一个支持本地EAP认证的无线网络 构建一个用ACS做AAA认证的无线网络,Presentation Title Size 30PT Option 2: Live,准备工作,基本设备,控制器 4400或者2100系列 AP：1130或者1240系列 交换机： 最好是3560 POE交换机,2100系列无线控制器,支持80

2、2.11a/b/g/n 支持PCI认证 WLC2100 硬件 8个FE口， 2个上联口，6个下联口 其中2个FE口有以太网供电 未使用端口 2个USB端口和一个扩展槽留作将来扩展用,*2106和2006不能作为guest access的anchor controller *不支持Link Aggregation *不能通过软件升级AP容量,NEW!,4400系列无线控制器,1 RU 高度 2口 或者 4口千兆上联 支持 12, 25, 50 or 100 AP 支持 5000 MAC地址转发表 10/100Base-TX 以太网 Service Port 9 pin 串口Console口 2

3、扩展槽和1个utility port目前未使用 2 热插拔电源模块插槽,44xx WLAN Controller,型号 4402 支持 12, 25, 和50 AP 型号 4404 支持100 APs,*不能通过软件升级AP容量 *4400系列使用SFP光纤模块 *4400系列每port支持50个AP,准备工作,网线和Console线。如果是4400，需要两头是DB9接口的线，如果是2106或者ISR，需要DB9+RJ45的线如果是4400，需要GLC光纤模块和光纤确认控制器版本是否需要升级 (用命令show sysinfo查看系统版本)是否需要将胖AP升级到瘦AP 1200/1100/130

4、0需要upgrade tool做升级，1250不需要工具，直接在图形化界面上升级,实验拓扑示例,VLAN1/20/30/40,WLC,说明：1、VLAN1用于连接控制器、AP和ACS； 2、VLAN20用于WPA/WPA2认证，认证服务器用ACS。 3、VLAN30用作OPEN/WEP/GUEST客户接入 3、VLAN40用作WPA/WPA2认证，认证用本地EAP,SSID:VLAN20,SSID:VLAN30,PC/AAA服务器,VLAN1,所有3层网关设置在3层交换机上，地址254,启动选项,The controller boot sequence will always have the

5、se option available since this is set in PROM to ensure controller recovery options,按5清空配置,系统启动界面和配置 (OS 5.1),Would you like to terminate autoinstall? yes: System Name Cisco_51:2b:60 (31 characters max): 2106-demo AUTO-INSTALL: process terminated - no configuration loadedEnter Administrative User Na

6、me (24 characters max): cisco Enter Administrative Password (24 characters max): cisco Re-enter Administrative Password : ciscoManagement Interface IP Address: 192.168.10.1 Management Interface Netmask: 255.255.255.0 Management Interface Default Router: 192.168.10.254 Management Interface VLAN Ident

7、ifier (0 = untagged): Management Interface Port Num 1 to 8: 1 Management Interface DHCP Server IP Address: 192.168.10.254AP Manager Interface IP Address: 192.168.10.2 AP-Manager is on Management subnet, using same values AP Manager Interface DHCP Server (192.168.10.254): Virtual Gateway IP Address:

8、1.1.1.1Mobility/RF Group Name: demo,系统启动界面（续）,Enable Symmetric Mobility Tunneling yesNO: yesNetwork Name (SSID): open Allow Static IP Addresses YESno: Configure a RADIUS Server now? YESno: no Warning! The default WLAN security policy requires a RADIUS server. Please see documentation for more detail

9、s.Enter Country Code list (enter help for a list of countries) US: CNEnable 802.11b Network YESno: Enable 802.11a Network YESno: Enable 802.11g Network YESno: Enable Auto-RF YESno: Configure a NTP server now? YESno: no Configure the system time now? YESno: Enter the date in MM/DD/YY format: 09/28/08

10、 Enter the time in HH:MM:SS format: 17:11:00Configuration correct? If yes, system will save it and reset. yesNO: yesConfiguration saved! Resetting system with new configuration.,非常重要，Controller的wireless的domain要和AP一致。,配置3层交换机,p dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.10.25

11、4 ip dhcp excluded-address 192.168.10.2 ! ip dhcp pool APnetwork 192.168.10.0 255.255.255.0default-router 192.168.10.254 ! interface FastEthernet0/1switchport trunk encapsulation dot1qswitchport mode trunk interface Vlan1ip address 192.168.10.254 255.255.255.0 ! interface Vlan20ip address 192.168.20

12、.254 255.255.255.0 ! interface Vlan30ip address 192.168.30.254 255.255.255.0 ! interface Vlan40ip address 192.168.40.254 255.255.255.0 line vty 0 4privilege level 15password ciscologin,配置WEB访问,1、使用直通网线，连接交换机的trunk接口到控制器端口12、配置PC机的IP地址 192.168.10.100/24或者DHCP，网关192.168.10.2543、测试PC能否Ping 通Controller的

13、地址：192.168.10.13、用https:/192.168.10.1访问控制器，如果要开启http访问，需要在系统里打开。,使用IE浏览器进行WEB访问,如果要升级控制器系统软件,tftp 服务器推荐tftpd32 支持64M以上文件传输,在CCO上下载新版本,支持室内室外 mesh 版本,支持802.11n和其他新功能的普通版本,http:/ Path to Controller Software Release 5.0.148.0 or above,注意：由于配置存储格式不同，从3.x-4.x 升级到5.x后，原来的部分配置可能丢失,Upgrade Path to Controll

14、er Software Release 4.1.171.0,控制器软件升级 命令行方式,Step1. ping server-ip-address测试控制器与TFTP server的连通性 Step2. transfer download mode tftp设置传输使用的协议：tftp Step3. transfer download datatype code设置传输的数据类型 Step4. transfer download serverip server-ip-address指定tftp server的IP地址 Step5. transfer download filename file

15、name制定Image的文件名 Step6. transfer download start开始传输文件，确认时如果回答No,则显示TFTP的参数设置 Step7. reset systemWLC的系统重新启动,注：TFTP服务器软件推荐tftpd32，可以在网上免费下载，支持64M以上大文件传输,控制器软件升级 图形界面,电脑上设置好Tftp软件； 填入Tftp地址和文件名后，选择右侧的 download 按钮开始。 完成后按提示reboot。,Presentation Title Size 30PT Option 2: Live,熟悉无线控制器 Controller配置界面,命令行 (CL

16、I) 基本命令,cisco,命令行 (CLI) “clear” Commands,命令行 (CLI) “config” Commands, and more,命令行 (CLI) “debug” Command,命令行 (CLI) “help” Commands,命令行 (CLI) “show” Commands,命令行 (CLI) “transfer” Commands,使用IE浏览器进行WEB访问,控制器上查看和设置无线网络SSID,控制器配置页面,配置接口,配置控制器做DHCP服务器,定义无线组,参看和配置端口,配置接口页面,设置控制器做DHCP服务器,定义移动组,设置端口页面,多个控制器

17、时，设定主控制器,点击WIRELESS/ALL APs,安全页面,Radius服务器配置,本地用户数据库,MAC地址过滤,WEB认证相关配置,本地EAP,管理界面,定义能够进行Controller管理的管理用户,控制器维护管理界面,系统和配置文件的上传、下载配置,控制器软重启,AP射频模块配置界面,AP发射功率调节(AP1131),Tx Power Num Of Supported Power Levels . 6Tx Power Level 1 14 dBmTx Power Level 2 11 dBmTx Power Level 3 8 dBmTx Power Level 4 5 dBmT

18、x Power Level 5 2 dBmTx Power Level 6 -1 dBm,AP1242的level 1 是 17dBm,5.1版本对HA的增强,Failover等级,全局HA配置,Presentation Title Size 30PT Option 2: Live,连接AP到控制器,Controller里的Port还有Vlan以及Interface的对应关系,Controller必需配置的接口 带内管理接口“Management Interface” LWAPP Tunnel 终结接口“AP Manager Interface” 桥接的无线客户端接口“Dynamic Inte

19、rfaces”. 二三层漫游而设的虚拟接口“Virtual Interface” 可选接口: 服务接口带外管理接口,*2100系列和WLCM没有service port,确认控制器国家版本与AP一致,目前版本支持同时支持多国家,确认时间配置无误,在路由器或者3层交换机设置DHCP,在AP和控制器不在同一网段的情况下，建立AP能够获取IP Address 的地址池，加上Option 43WLC-router(config)#ip dhcp pool LWAPP-AP WLC-router(dhcp-config)#network 192.168.10.0 255.255.255.0 WLC-ro

20、uter(dhcp-config)#default-router 192.168.0.254 WLC-router(dhcp-config)#option 43 ascii “192.168.10.1“/很重要！通过Option 43 可以让AP在获取和控制器不同网段IP Address的时候，能够知道Controller的所在。 如果AP和控制器在一个网段和广播域，则可以不配置option 43WLC-router(dhcp-config)#exitWLC-router(config)#ip dhcp excluded-address 192.168.0.254,在IOS设备配置Option

21、 43,对于1000/1500系列，直接写 option 43 ascii “192.168.10.5,129.168.10.20“对于1100和1200，需要写option 60和option 43 假设要连接1240，控制器地址为192.168.10.5和192.168.10.20 ip dhcp pool AP network 192.168.10.0 /24 default-router 192.168.10.254 dns-server 192.168.10.100 option 60 ascii “Cisco AP c1240 “ option 43 hex f108c0a80a0

22、5c0a80a14,option 43的配置详见http:/ String 1130的是Cisco AP c1130,类型= f1,长度 = 2 x 4 = 08,192.168.10.5,192.168.10.20,可以在console上打开debug观察AP加入情况,(Cisco Controller) debug lwapp events enable (Cisco Controller) *Oct 04 19:20:19.154: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 t

23、o 00:1e:13:51:2b:60 on port 8 *Oct 04 19:20:19.154: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0 *Oct 04 19:20:19.154: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0 *Oct 04 19:20:19.155: 00:1a:e3:d0:19:50 Successful transmission

24、 of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8 *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Received LWAPP DISCOVERY REQUEST from AP 00:1a:e3:d0:19:50 to ff:ff:ff:ff:ff:ff on port 8 *Oct 04 19:20:19.156: Received a packet which is a (type = DISCOVERY_REQUEST) with session id 0 *Oct 04 19:

25、20:19.156: Join Priority Processing status = 0, Incoming Aps Priority 1, MaxLrads = 6,joined Aps =0 *Oct 04 19:20:19.156: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Discovery Response to AP 00:1a:e3:d0:19:50 on port 8 *Oct 04 19:20:31.162: 00:1a:e3:d0:19:50 Received LWAPP JOIN REQUEST from A

26、P 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 on port 8 *Oct 04 19:20:31.162: Received a packet which is a (type = JOIN_REQUEST) with session id 0 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 AP AP001b.5302.28f8: txNonce 00:1E:13:51:2B:60 rxNonce 00:1A:E3:D0:19:50 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 LWAPP

27、 Join Request MTU path from AP 00:1a:e3:d0:19:50 is 1500, remote debug mode is 0 *Oct 04 19:20:31.177: DTL Adding AP 1 - 192.168.10.10 *Oct 04 19:20:31.177: 00:1a:e3:d0:19:50 Successfully added NPU Entry for AP 00:1a:e3:d0:19:50 (index 1) Switch IP: 192.168.10.2, Switch Port: 12223, intIfNum 8, vlan

28、Id 0 AP IP: 192.168.10.10, AP Port: 8847, nex *Oct 04 19:20:31.911: 00:1a:e3:d0:19:50 Successful transmission of LWAPP Join Reply to AP 00:1a:e3:d0:19:50 *Oct 04 19:20:31.912: 00:1a:e3:d0:19:50 spam_lrad.c:1589 - Operation State 0 = 4 *Oct 04 19:20:31.913: 00:1a:e3:d0:19:50 Register LWAPP event for

29、AP 00:1a:e3:d0:19:50 slot 0 *Oct 04 19:20:31.914: 00:1a:e3:d0:19:50 Register LWAPP event for AP 00:1a:e3:d0:19:50 slot 1 *Oct 04 19:20:33.192: 00:1a:e3:d0:19:50 Received LWAPP CONFIGURE REQUEST from AP 00:1a:e3:d0:19:50 to 00:1e:13:51:2b:67 *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP info fo

30、r AP 00:1a:e3:d0:19:50 - static 0, 192.168.10.10/255.255.255.0, gtw 192.168.10.254 *Oct 04 19:20:33.194: 00:1a:e3:d0:19:50 Updating IP 192.168.10.10 = 192.168.10.10 for AP 00:1a:e3:d0:19:50 *Oct 04 19:20:33.194: 00:1b:53:02:28:f8 Building Config Response Msg for 00:1b:53:02:28:f8,确认AP连接到控制器,图形界面,命令行

31、,Presentation Title Size 30PT Option 2: Live,CSSC无线客户端,802.11 无线客户端概述,无线客户端建议,由于企业内笔记本电脑牌子比较多，建议客户端使用Cisco CSSC软件，使用CSSC软件的好处如下：1.整个公司笔记本电脑统一的平台，方便管理和下发策略。CSSC带有部署工具，制订好策略后容易部署（如果是Windows平台的话，还要配置相关的参数）3. CSSC软件支持Cisco NAC网络准入控制技术.4. 建议新购买的笔记本电脑采用统一的品牌（方便管理），旧的笔记本电脑如果没有无线网卡的话，建议统一使用Cisco的CB21AG（支持AE

32、S强加密）,Cisco还提供专门为台式机使用的无线网卡：AIR-PI21AG。 5.Cisco倡导了CCX（各厂家笔记本电脑和Cisco AP兼容性测试）计划，可以从下面的链接知道哪些笔记本电脑的型号是CCX计划里面的成员。http:/ SSC客户端软件的安装,CSSC连接的简单设置,Presentation Title Size 30PT Option 2: Live,构建一个OPEN和一个WEP的无线网络,配置一个无线业务的基本步骤,配置无线客户端的DHCP服务器 配置一个无线网络接口 dynamic interface 配置一个无线业务 WLAN,AP的初始化,在WLC上可以通过使用ct

33、rl + Shift + 6的组合键，切换到ISR路由器的界面,把AP连接在InterSwitch 模块上 WLC-router(config)#int vlan 1 WLC-router(config-if)#no shut WLC-router(config-if)#ip add 192.168.0.254 255.255.255.0 WLC-router(config-if)#exit WLC-router(config)#int range fast WLC-router(config)#int range fastEthernet 0/1/0 8 WLC-router(config-

34、if-range)#switchport WLC-router(config-if-range)#switchport access vlan 1 WLC-router(config-if-range)#no shut,1、为客户端建立DHCP服务器,2、为无线客户端建立一个无线接口,点击APPLY,2、建立Guest无线接口:VLAN20,查看建立的接口,点击可以进行VLAN20接口的参数修改,点击可以删除,3、建立一个open的访客 WLAN,3、建立一个open的访客 WLAN,很重要！很容易被忘记,3、建立一个open的访客 WLAN,选择None，不对无线网络有任何加密和限制,WLA

35、N增强特性配置,无线客户端连接测试,更改刚才的WLAN为WEP加密,40位WEP要求5位ASCII字符密码 104位WEP要求13位ASCII字符密码 Cisco Aironet 1100/1200/1300不支持128位WEP,无线连接验证,Presentation Title Size 30PT Option 2: Live,构建一个简单WEB 认证的无线接入网络,构建一个简单WEB认证的无线网络,增加一个新的地址池 增加一个新的接口 配置web页面认证的本地页面 增加web认证的WLAN 建立本地用户认证数据库,1、新建一个用于WEB 认证用户的地址池,2、控制器添加一个VLAN30接口

36、,3、配置web页面认证的本地页面,4、新建一个WLAN,4、新建一个WLAN,5、定义内部认证用户数据库,验证WEB认证,跟前面一样，在CSSC的Manage Network中，选择并激活web-auth,web界面认证的验证,在浏览器里输入类似http:/10.10.10.10地址（因为没有DNS，所以不能输入网址）,web界面认证的验证,Presentation Title Size 30PT Option 2: Live,构建一个支持本地EAP 认证的无线接入网络,构建一个支持WPA认证的网络,增加一个新的地址池 增加一个新的动态接口 添加本地EAP支持或者AAA服务器（Radius服

37、务器） 建立一个新的WLAN SSID 配置WPA/WPA2认证 设置CSSC客户端软件,1、新建一个地址池,2、控制器添加一个VLAN40接口,3、增加本地EAP支持,3、本地EAP的profile配置,4、新建一个WLAN,4、新建一个WLAN,5、配置WPA/WPA2,5、配置本地EAP认证支持,6、设置CSSC软件，添加SSID,Presentation Title Size 30PT Option 2: Live,构建一个用ACS做AAA 认证的无线接入网络,ACS相关配置名词解释,Posture ACS Access Control Server NAP Network Acces

38、s Profile NAF Network Access Filter NAD Network Access Device NDG Network Device Group PA Posture Agent PV Posture Validation RAC Radius Authorization Component DACL Dynamic Access Control List ADF Attribute Definition File,ACS各部件逻辑关系,NAP,Authentication,Authorization,Posture Validation,Authenticatio

39、n DB,Global Auth Setup,Internal DB,External DB,Rule 1,Rule N,Policy 1,Internal Posture Validation,External Posture Validation,External Posture Validation Audit,RAC,DACL,NAF,NAD + AAA,NDG,Switches Routers VPN GW FW,Policy N,or,or,or,通过认证后检查状态,检查状态后指示设备配置,关联,组成,下载至设备,组成,引用,引用,添加Radius服务器,Securityaaara

40、dius authentication,EAP Authentication,Cisco的自适应WPA或者WPA2,EAP Authentication,配置radius,ACS配置-增加AAA client,增加 AAA client,增加AAA server,ACS配置-增加 AAA server,ACS配置-显示的AAA client和Server,ACS配置-产生证书,配置AAA需要返回的参数,ACS配置-AAA能够返回的参数,ACS配置-选择各种EAP,ACS配置-EAP Fast配置,不要选择这个,ACS配置-增加一个group,ACS配置-增加一个user加入group,EAP Authentication-funk software on PC,PEAP,PC 端配置,不要选,配置CSSC,